A szakmabeliek és a leendő felhasználók régóta várták az elektronikus aláírásról szóló törvény elfogadását, hiszen mindenki azt reméli, hogy jogilag is támaszt nyernek a papírhegyek eltüntetésére, a személyes részvétel nélküli ügyintézésre, a távollévők közötti jogügyletek – például az elektronikus kereskedelem – fejlesztésére irányuló törekvések. Az alábbiakban a törvényi háttérből kiindulva a közeljövő felhasználóinak próbálunk néhány döntési szempontot felvázolni.
A nyilvános kulcsú kódoláson alapuló (PKI) technológiák – amelyek az e-szignónak is alapját képezik – régóta jelen vannak hétköznapjainkban. A vállalati felhasználók mindennapi munkájuk során számos ilyen alkalmazást használnak, amikor állományaikat titkosítják, leveleiket aláírják, vagy ha otthonról szeretnének dolgozni, egyszerűen egy VPN (Virtual Privat Network) csatornát építenek ki a céghez, belépéskor pedig login és jelszó helyett „tanúsítvánnyal” igazolják magukat.
A szabályozás ugyan a fenti alkalmazások közül csak a digitális aláírásra korlátozódik, bizonyos értelemben mégis kiszélesíti a felhasználhatóságot: legális keretet ad olyan, eddig csak „jogi félhomályban” létező szolgáltatásoknak, mint például az internetbanking-rendszerben adott átutalási megbízás.
Alapvető, hogy a törvény kimondja: csak azért, mert nem papíron van, a dokumentumot, bizonyítékot nem lehet visszautasítani. A bíróság ugyanakkor a legtöbb esetben mérlegelheti, hogy a beadott és elektronikusan aláírt szöveget hitelesnek tekinti-e, vagy sem.
Az egyetlen kivétel ez alól az olyan aláírás, amely minősített, azaz állami szerv (Hírközlési Főfelügyelet) által bevizsgált, biztonságos aláírás-létrehozó eszközzel (BALE) és szintén szigorú vizsgálaton átesett, minősített hitelesítésszolgáltató (MHSZ) által kiadott tanúsítvány segítségével készült. Az ilyen elektronikus dokumentum bizonyító erejű magánokiratnak számít.
Minden esetben használjuk?
Felmerül a kérdés, hogy a mindennapi életben szükséges-e mindig ilyen szigorú, a két tanú által megerősített nyilatkozattal egyenértékű, minősített aláírást használnunk.
A válasz nyilvánvalóan nem, hiszen számolnunk kell a minősített tanúsítvány és a megfelelő aláírás-készítő eszköz borsos árával is.
A törvény ezért használja a fokozott biztonságú elektronikus aláírás fogalmát – így nevezi azt az aláírást, amely a minősített aláíráshoz hasonló módon készül, de sem a kibocsátás eszköze, sem a tanúsítványt kiadó hitelesítő szervezet nem minősített. Ez is kielégíti az írásbeliség jogi követelményét. A felhasználást ekkor a kommunikálni kívánó felek kétoldalú szerződésben szabályozhatják. Zárt felhasználói csoportokban (vállalaton belül, beszállítókkal, szerződéses ügyfelekkel zajló kommunikációban) vélhetően ez lesz a legáltalánosabban elterjedt aláírásforma.
Belső hitelesítés vagy szolgáltatásvétel?
A „minősített tanúsítványt vásároljak, vagy elégedjek meg a fokozott biztonságúval?” kérdés előtt azt kell eldönteni, hogy nem érdemesebb-e saját hitelesítő rendszert üzemeltetni.
Az Icon az elmúlt néhány évben sikeresen állított üzembe belső hitelesítésszolgáltató rendszereket ipari, pénzügyi és kormányzati területen egyaránt. Az ilyen hitelesítő megoldások a vásárolt tanúsítványokkal szemben elsősorban nagyfokú testre szabhatóságukkal tűnnek ki. „Kézben van” a tanúsítványok tartalma, a hitelesítési és visszavonási politika, a hitelesítő rendszerek összekapcsolhatók a dolgozó- vagy ügyféladatbázissal. A belső hitelesítés hátránya, hogy komoly IT-beruházást igényel, amit a szakképzett üzemeltetői állomány biztosításának költsége is terhel.
A saját, belső hitelesítésszolgáltató rendszer minősíttetésén gondolkodni sem érdemes, mivel ez a néhány tízmilliós árat rögtön a milliárdos nagyságrendbe emeli. (Ez az ára az „a bíróság mérlegelés nélkül hitelesnek fogadja el” félmondatnak.)
Fontos a rendszerszemlélet
Nem hiába ír elő a törvény a minősített aláíráshoz bevizsgált eszközt: az igazán biztonságos felhasználáshoz valamilyen céleszköz (például chipkártya) szükséges.
Ne feledjük azonban, hogy az egész rendszer biztonsági szintje határozza meg az adat, esetünkben az aláírás biztonságát. Mit ér a legbiztonságosabb eszköz, ha a felhasználó a jelszót a monitorra ragasztott cetlin „őrzi”?
Legyen szó akár minősített, akár nem minősített hitelesítésről, a PKI-kliensek kiválasztása, üzembe helyezése és további támogatása, a dolgozók megfelelő képzése, a belső IT-biztonsági politika, a szabályzatok kidolgozása mind-mind nagy körültekintést kívánó feladat. A rendszer összetettsége miatt érdemes az IT-biztonsággal „főállásban” foglalkozó szakember segítségét igénybe venni akkor is, ha nem szolgáltatót építünk, „csak” felhasználói oldalon vezetünk be e technológiára épülő biztonsági alkalmazásokat.
Forrás: Prím Online
Kapcsolódó cikkeink:
Kulcs a biztonságért. Tárgyalásra kész az e-aláírásról szóló törvény
„E” mint energia konferencia - fókuszban a megújulóenergia-politika érvényesülése, az energia tárolási lehetőségei, a gáz- és árampiac helyzete, a zöld átmenet finanszírozása, az elektromobilitás jövőképe.
Bankvezérek, neves energiapiaci szakértők, egyetemi tanárok és kutatók a jelen kihívásairól: hallgassa meg Ön is élőben!
2024. május 16. Budapest
Véleményvezér
Fordult a kocka, illúziónak bizonyult az a várakozás, hogy Kína lehagyja az USA-t
Nem biztos, hogy annyira jó gondolat volt a keleti nyitás. Az USA és Európa vezeti a világgazdaságot.
Aláírásgyűjtő ellenzéki aktivitákat támadtak meg Budapesten
Tettlegesséig fajult a választási kampány a fővárosban.
Magyarországon a legnagyobb az állami beavatkozás mértéke a gazdaságba
A nagy újraelosztási ráta ellenére alig jut az egészségügyre.
Argentínában kidobták a korrupt politikai elitet és kilőtt a gazdaság
Négy hónap alatt tűnt el a költségvetési hiány.
Újra lőnek az ukrán tüzérek
Nagy hatótávolságú rakétákat is kapnak az ukránok.
Szégyenteljes helyre került Magyarország a jogállamisági index alapján
A magyar jogásztársadalom levizsgázott.